寶可夢Go不夠安全?遊戲玩家別下載來源不明的程式
【2016年8月29日‧台北訊】 全球高效能網路安全領導廠商Fortinet® (NASDAQ: FTNT) 提醒遊戲玩家,別從來源不明的地方下載如寶可夢Go之類的火紅遊戲程式。
Fortinet資深行動安全研究人員Axelle Apvrille表示,「寶可夢在亞太地區正式推出之前,一些心急的玩家可能已經從不安全的網站和社交平台下載了遊戲。如同現今大多數的應用程式,寶可夢Go(或它使用的第三方程式)也會觸及你的隱私資料,並帶來不必要的網路流量。隨著寶可夢Go遊戲的竄紅,惡意軟體的作者可能會在遊戲中持續加入不同種的惡意軟體,透過各種非正式的Android和iOS平台散佈。
Fortinet指出,狂熱的行動遊戲玩家必須知道,有兩種寶可夢Go的應用程式。
- 官方版本
由開發商Niantic所發佈,一般說來這樣的程式是安全無害的。
- 改造版本
通常由第三方的開發人員所研發,也就是一般所謂的模組(mods)-改造版本,這些程式有感染惡意軟體的可能。Fortinet的FortiGuard Labs安全防護中心曾發現一個遭到DroidJack遠端存取工具感染的版本,它首次發現於2015年。受感染的手機表面上看起來運作正常,但每當手機打開時(甚至是在休眠模式),惡意軟體就會在幕後靜悄悄的執行。
下載前先明瞭風險
Fortinet列舉以下的主要風險,供遊戲玩家下載前先行瞭解。
風險一:安裝遭感染的版本
必須小心那些遭Android/SandrC.tr(訂名為DroidJack RAT)感染的版本。一年內檢測過的次數超過8,800次,上個月就檢測出160個。
風險二:全權存取Google的帳戶資訊
儘管Niantic公司已經修正了寶可夢Go可以全權存取Google帳戶的錯誤,使用者最好還是把帳戶的授權許可移除,並將程式升級到最新的官方版本。
風險三:不必要的網路流量
大多數的應用程式都內含第三方的套件(例如分析、當機回報、跨平台引擎等等),它們會消耗頻寬,用來收發一些或多或少有用的附加訊息。最好的情況是,它只會包含手機的精確型號;最糟的情況則會包含你的電話號碼和其它隱私資訊。
風險四:假造的寶可夢地圖或活動
為了避免在遊戲中遭受網路攻擊,Niantic在0.31.0版本之後增加了認證綁定(certificate pinning)機制,能確保程式是和真實的寶可夢伺服器進行資料交換,而非其它伺服器,並透過HTTPS進行通訊。
至於0.31.0之前的版本,由於缺乏認證綁定機制,攻擊者可執行中間人(MITM; Man-in-The-Middle)攻擊,並完全修改受害者的遊戲。惡意的駭客甚至可輕易地變更其它設定,例如在補給站顯示一個遭感染的連結,或是直接將受感染的東西注入。
一旦這類攻擊可行之後就會變得棘手難以處理,攻擊將只會在有寶可夢Go MITM代理伺服器存在的網路中執行。